大量生成ホストやHTTPS化――ブルーコートが語る、さらに「見えにくく」なる攻撃の現状

　ブルーコートシステムズ合同会社は24日、クラウド型ウェブ防御システム「WebPulse」のログ分析から得られたマルウェアやフィッシング攻撃などの動向に関する説明会を開催した。

　WebPulseは、クラウドベースのコミュニティ型ウェブ分析・評価サービス。米Blue Coat Systemsのマルウェア研究所では、世界中の政府、企業、個人などのユーザーのウェブトラフィックログをモニターし、1日10億件以上のウェブリクエストをリアルタイムで分析、マルウェアやフィッシングサイトの検出を行っている。

　マルウェア研究所アーキテクトのChris Larsen氏は、WebPulseではログをさまざまなソースから長期的に収集しており、そこから「場違いなもの」を探すとともに、それが「悪質」であるかを判断するのがマルウェア研究所の仕事だと説明。さらに、悪質な攻撃を識別および追跡するためのソフトウェアを開発して手順を策定し、そのデータをBlue Coat Systemsの全製品で共有しているとした。

Blue Coat Systemsマルウェア研究所アーキテクトのChris Larsen氏

　Larsen氏は、こうした分析の中から見えてきた興味深いデータとして、「一発屋ホスト」の存在を挙げた。膨大なログの中に、1～2回しかリクエストが記録されていないホスト（ドメイン名、サブドメイン、IPアドレス）の存在のことだ。

　WebPulseのログに現れる約600万件のアクティブなホストを調査したところ、そのうちの66％がログ中に1～2回しかリクエストが発生していない「一発屋ホスト」で、さらにそのうちの4分の1、全体の16％が新しいホスト（これまでに記録されたことのないホスト）だったという。

66％がログに1～2回しか現れない「一発屋ホスト」

　また、関連する現象として「1日限定ホスト」があると説明。90日間のWebPulseの全トラフィックを検証したところ、全部で6億6000万件のホストが記録されたが、そのうちの71％、4億7000万件のホストは、ログ中に現れる期間が24時間未満だったという。Chris氏もこの結果にはとても驚いたとした。

71％のホストは24時間しかログに現れない「1日限定サイト」

　Larsen氏は、「いいニュースは、こうしたホストのほとんどは悪意のあるものではないことだ」と語る。1日限定サイトとして生成されるホストのトップ10のうち、6つはCDNによるもので、最も多かったのはGoogleのCDNが利用している「gstatic.com」のサブドメインだ。具体的な理由についてはよく分からないが、こうしたCDNが毎日何百万というホストを生成しているという。

　一方、「悪いニュースは、悪意のあるホストもこうした大量の一発屋ホストに紛れてしまうことだ」と語る。ボットネットやフィッシングなどでも「使い捨て」のホストを大量に生成する活動が見られるが、こうした悪意のあるホストも大量の「一発屋ホスト」に紛れてしまい、従来のようなリスト型でのブロックなどでは対応しきれないといった問題があるとした。

　さらに、ドメイン名についても新しいgTLDが大量に追加されているが、中にはほとんど悪質なサイトにしか使われていないgTLDもあると説明。例えば「.science」というgTLDのホストは、ほとんどが悪質またはジャンクなものとなっており、これはレジストリが無料登録キャンペーンを行ったことで、スパムなどに悪用されたとみられるという。

　また、国際化ドメイン名（IDN）を悪用して、紛らわしい名前のドメイン名を利用する例などもあると指摘。こうした新しいドメイン名も、悪人が「隠れ場所」として利用しようとしているとした。

急増するTLDも悪人の「隠れ場所」に

　そして、最近の「隠れ場所」には、暗号化されたトラフィックが利用されていると説明。GoogleやFacebookといった多くのサービス、コンテンツがHTTPSを使用するようになってきており、一部の顧客企業のネットワークでは既に40～50％のトラフィックがHTTPSになっているという。

　一方で、マルウェアも通信に暗号を用いるようになってきており、マルウェアの侵入や外部との通信が暗号化されることで、セキュリティ対策製品が通信の中身を確認できず、正しく検知できないといった問題があるとした。

　例えば、最近の複数の攻撃では、マルウェアのダウンロード元にDropboxのようなHTTPSサイトを使用していた。これは、一般的なオンラインストレージを使うことで、企業側にブロックされないようにすることが第一の目的だと思われるが、HTTPSであるために途中で中身を見られて検出されないといった、攻撃者にとっての“ボーナス”も期待できるだろうとした。

HTTPS化も攻撃が見えなくなる要因に

　また、オンラインバンキング利用者を狙ったマルウェアとして最近有力になっている「Dyre」や、PCやファイルをロックして“身代金”を要求するランサムウェアの「CTB-Locker」攻撃でも、HTTPSを利用している。使用しているSSL証明書の多くは期限切れの証明書や自己証明書で、ウェブブラウザーでアクセスすれば警告が表示されるようなものだが、マルウェアが通信の暗号化のために利用しているという。

　さらには、Dyreでは新たな匿名化ネットワーク「I2P」の使用も開始しており、2015年2月に使用を開始した時点ではバグだらけの実装だったが、3月には正しい実装となり、猛威を振るっているという。

オンラインバンキングを狙う「DYRE」はHTTPSを使用

CTB-Locker攻撃もHTTPSを使用する

DYREは匿名化ネットワーク「I2P」も使用

　Larsen氏は、組織にはこうしたセキュリティ問題に関する優秀な人材がさらに求められるようになっており、優秀な人材はどこでも不足していると言われるが、必ずこうした分野に興味を持つ人はいるので、外部からの採用でなく内部でそうした人材を育てることを推奨しているとした。

　また、今後の攻撃への対応には、SSLを含む可視化のためのツールが必要だと説明。Blue Coat Systemsでは、SSLトラフィックを復号できる企業向けのセキュリティアプライアンス製品「SSL Visibility Appliance」を提供しており、今後さらに「見えなく」なってくる攻撃にはこうした製品やアイデア、適切な外部インテリジェンスが必要だとした。